Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IP Bereich (1.2.3.X) sperren oder besser nicht ?

Frage Internet

Mitglied: Arano

Arano (Level 2) - Jetzt verbinden

25.08.2009, aktualisiert 19:37 Uhr, 12020 Aufrufe, 10 Kommentare

Sollte ich den IP-Bereich eines Hosters von dem vermutlich ein Spambot agiert sperren ?

Hallo zusammen,

seit ende letzen Jahres wird ein Webserver, besser gesagt, das Gästebuch der Internetseite die auf dem Server liegt von einem Spambot "heimgesucht". Die Spameinträge habe ich nach kurzer Zeit mit einem Captcha verhindern können, allerdins hat der Bot __nicht__ aufgehört ! Das heisst das seit dem der Server weiterhin mit den Anfragen (GET und POST-Requests) des Bots beschäftigt wird. Die Anfragen laufen auch immer nach dem selben Schema aber in unterschiedlichen intervalen ab:
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "GET /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 5890 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)" 
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "POST /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 6095 "http://www.example.com/gaestebuch/seite-1/eintragen.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)"
Erst der normale GET-Request um den Referrer zu erlangen, gefolgt von dem POST um einen neuen Eintrag zu erstellen. Ich habe gestern Abend mal die Logfiles nach dem IP-Bereich gescannt = >37.000 Treffer !
Die letzte Stelle der IP wechselt jeden Monat wo bei pro Tag bis zu vier IPs im wechsel zu erwarten sind !
Der gesamte Bereich "gehört" laut ripe.net zu einem "Hosting-Center" in der Schweiz.

  1. Eigentlich sollte ich diesen IP Bereich doch sperren können ohne normale Internetbesucher mit auszusperren, oder ?
  2. Macht es Sinn den Hoster darüber zu informieren was "sein Kunde __vermutlich__ anstellt" ? (In der Hoffnung das dieser was dagegen tut)


Einen schönen Abend noch
~Arano
Mitglied: 1002-btl
25.08.2009 um 19:58 Uhr
Hallo,

den IP Bereich manuell sperren könnte schnell zu einer Tagesbeschäftigung werden, da ja die IP's immer wieder wechseln.
Die IP's gehören vielleicht zu einem Botnetz mit vielen PCs und führen dann zu ahnungslosen Privatleuten.
Ich würde zuerst die URL vom Gästebuch ändern, damit die Requests der Bots ins Leere laufen.

Vielleicht könnte es helfen, bereits beim vorangehenden Get Request bei einem ungültigen Referer (außerhalb der eigenen Homepage) dem Bot einen Fehlercode zurück zu liefern (z.B. 404). Das funktioniert aber nur über Scriptsprachen und nicht mit statischen Seiten.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.

Viel Glück
Bitte warten ..
Mitglied: Arano
25.08.2009 um 20:56 Uhr
Hallo 1002-btl

Nee, einzene IPs wollte ich auch nicht sperren ich wollte gleich alle von 1.2.3.0 bis 1.2.3.255 sperren.
Dieser IP-Bereich soll eben zu dem Hoster (nicht Internetprovider) in der Schweiz gehören, darum schätze ich das ich deswegen keine Privatleute treffen würde. Aus der Schweiz werden zwar eh keine Besucher erwartet aber die Zukunft hat viele Überraschungen bereit so das mir eine grundsätzliche Lösung lieber wäre (wenn es sie gibt).

Das ändern der URL ist keine so schlechte Idee, wäre ich vielleicht gar nicht drauf gekommen.

Das mit dem Referrer wirderum funktioniert nicht weil der beim vorangehendem GET immer leer ist und beim folgendem POST der Seiteneigenem URL entspricht.

Ja, einen HTTP-Status senden hatte ich mir auch schon überlegt (arbeite mit PHP) allerdings an der Stelle an der der Eintrag wegen des falschen Captchas nicht gespeichert wird (401, 404, 406, 400 oder einen anderen). Leider wird vorher schon der komplette Kopfbereich der Website ausgegen so das ich keine weiteren Headerinformationen senden kann.
Und wenn der Besucher den Captcha mal falsch ausfüllt und nen 404 bekommt ist das auch nicht gut.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Wie dem auch sei, das mit der URL werde ich morgen mal in Angriff nehmen und dann beoabachten wielange der Bot braucht das zu verstehen...
*arg* Schlüsselwort "Verstehen", der hat die Seite ja auch gefunden, was sollte ihn davon abhalten die "neue" Seite auch wieder zu finden, werde sie in der Navigation verlinken müssen.

Ich mach mir Morgen mal nen Kopf drüber und überlge was ich einfach mal ausprobieren werden...


Gute Nacht
~Arano
Bitte warten ..
Mitglied: EvilMoe
25.08.2009 um 21:04 Uhr
Warum kommt der Bot überhaupt am Captcha vorbei?
Wäre es nicht einfacher zu schauen warum er das lesen kann? Vielleicht etwas schwieriger machen, oder vielleicht ist ein Fehler Captcha (z.B. Buchstaben sind im Klartext im Quellcode vorhanden etc.)...
Bitte warten ..
Mitglied: dog
25.08.2009 um 23:45 Uhr
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Die Zahl sollte keinem Apache was ausmachen.
Ein Guter schafft 3k Requests pro Sekunde.

Grüße

Max
Bitte warten ..
Mitglied: maretz
26.08.2009 um 07:15 Uhr
Ich würde erstmal den Auszug aus der Logfile (unverändert!!!) an den Hoster senden. Denn dann wird der schon dafür sorge tragen das derjenige aufhört bzw. seinen Server mal überprüft. Immerhin zahlt der Hoster den Traffic...

Sollte das nicht helfen würde ich gucken ob man jemand anders findet (z.B. abuse-Adresse) der notfalls dem Hoster sogar auf die Finger haut... Allerdings ist es bei mir bisher nie soweit gekommen das ich da nachhaken musste - meist kam sogar sehr schnell nen kleines Entschuldigungs-Schreiben des Hosters mit der Aussage das er sich darum kümmern wird. Und 1-2 Tage später war dann auch ruhe
Bitte warten ..
Mitglied: Arano
26.08.2009 um 16:58 Uhr
Hallo zusammen.

@EvilMoe:
Nein, der Bot kommt am Captcha nicht vorbei, das funktioniert schon !
Der Punkt ist nur, bei einem falsch gelöstem Captcha gibt man dem Benutzer ja nur Bescheid a lá: "Captcha falsch, probiere es noch mal" und zeigt ihm das Formular mit seinen bisherigen Eingaben. Weil die Seite aber erfolgreich angezeigt wird resultiert das in einem HTTP-Status: "200 OK". Der Benutzer sieht/liest ja das es nicht funktioniert hat, der Bot nicht weil Status 200 = alles OK, also kommt er wieder (ob wohl es eigentlich nichts bringt) !

@Dog:
Das sind schon ne menge Anfragen die der verarbeiten kann !
Naja, in der Hinsicht (Serverleistung) bin ich schon immer "ängstlich" gewesen, was ja auch nicht unbedingt schlecht ist ;)
Und Danke für die Info !

@maretz:
Hast das wohl schon ein paar mal mitgemacht, wie !?
Aber das hört sich auch gut an, eigentlich sogar genau das was ich auch gerne hören wollte.
Werde das also gleich mal machen.
Danke für den Hinweis !

@Alle:
Ich wollte mir ja noch ein paar Gedanken dazu mache und so tat ich das auch:
  • Also, das sperren der IP / des Bereiches hätte vielleicht geholfen, aber nur gegen diesen einen Bot und sämtliche IP-Bereiche sperren aus denen irgendwann mal ein Bot kommt wird früher oder später damit enden das nur noch local auf den Server zugegriffen werden kann.
  • Das ändern der URL wäre auch nur eine temporäre Lösung gewesen weil auch hier früher oder später der Bot die neue URL gefunden hätte, Und wenn nicht dieser, dann ein anderer.
  • Mir scheint das nur die Methode mit den HTTP-Status-Codes in Frage kommt, als "vorsorge" Schutz damit die Bots gar nicht erst das Interesse an der Seite / dem Formular bekommen. Bei einem falschem Captcha müsste also z.B. erst ein "404 Not Found" für den Bot kommen und anschließend ein "3xx Redirect" mit der Weiterleitung zum bereits vorgefülltem Formular. Funktioniert wenn überhaupt eh nur bei Bots die auch auf den HTTP-Status achten (um keine unnötigen Formulare in ihre Listen aufzunehmen o.ä.).

Ja, so denke ich da gerade drüber, ob es stimmt wird sich noch herausstellen, theoretisch wie technisch und vor allem praktisch.

Ein Dankeschön noch mal an alle für eure Anregungen und Vorschläge, Danke !


~Arano
Bitte warten ..
Mitglied: dog
26.08.2009 um 17:21 Uhr
Es gibt auch noch einen weiteren Trick um Bots auszusperren, die die robots.txt ignorieren.
Dazu fügt man unsichtbar eine neue URL in die Seite ein, wobei bei jedem Aufruf die IP gesperrt wird.
Damit man nicht auch Google etc. aussperrt trägt man die URL vorher als Verboten in die robots.txt ein.
Aber das ist auch nur eine halbe Lösung

Grüße

Max
Bitte warten ..
Mitglied: Arano
29.08.2009 um 13:11 Uhr
Guten Tag, ich noch mal !

Ich dachte ich berichte euch noch davon was aus dem anschreiben des Hosters geworden ist.

AWESOME !
Wie maretz sagte !
Habe eine Mail mit ein paar kurzen Auszügen der Logs, etwas Text (a lá: werde seit X von IPs aus ihrem IP Bbereich "angegriffen", mittlerweile über 34.000 Loglines, bla bla) und eine Datei mit allen vollständigen Einträgen vom August als Anhang um 21:00 Uhr abgeschickt !
Am nächstem Tag wurde bereits um 06:57 Uhr deren Antwort versandt:
Thanks for the information. Necessary measures will be taken A.S.A.P.
Und bis heute ist der letzte Eintrag in den Logs von 05:49:43 Uhr

Nach weniger als nur 9 Stunden (über Nacht) war das bereits erledigt !


~Arano
Bitte warten ..
Mitglied: maddoc
03.09.2009 um 00:58 Uhr
Hallo,

sollte das Problem wieder auftreten kann ich dir BotTrap empfehlen. Bei mir hat es sofort geholfen und seit dem hatte ich nie wieder Probleme.

http://www.bot-trap.de/home/

Gruß Oli
Bitte warten ..
Mitglied: maretz
03.09.2009 um 07:56 Uhr
Naja - der Nachteil wenn du den Provider nicht informierst: Diese Spam-Schleudern u.ä. werden weiter betrieben (da ich behaupten würde das rund 75% der betreffenden Rechnern von Leuten betreut werden die grad mal unfallfrei nen Rechner anschalten können) und belasten dann andere Systeme und leitungen...

So werden diese Systeme entweder von dem "Admin" gesäubert oder normal vom Provider ganz hart vom Netz gekickt... Und ganz ehrlich -> mir tut es da wenig leid wenn so ein "Aushilfs-Admin" seinen Server mal eben verliert...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack (2)

Frage von Quincy25 zum Thema Switche und Hubs ...

Router & Routing
gelöst Im Netzwerk auf zweiten IP-Bereich zugreifen (30)

Frage von huckepaule zum Thema Router & Routing ...

PHP
gelöst Website einem bestimmten IP-Bereich zugänglich machen (6)

Frage von Thoomaas zum Thema PHP ...

Linux Netzwerk
gelöst Squid3 Webseiten IP sperren (9)

Frage von denndsd zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...